WhatsApp en Signal gehackt? Nee!

Afbeelding via Unsplash

“Rusland hackt WhatsApp en Signal van overheidsmedewerkers, melden inlichtingendiensten”, kopte de NOS afgelopen maandag. Ik zal uitleggen waarom ik hier het stempel ‘devaluatie’ op druk.

Om te beginnen een geruststelling: noch WhatsApp, noch Signal is gehackt. Tenminste, als je de gangbare betekenis toekent aan hacken: jezelf wederrechtelijk toegang verschaffen tot een computersysteem (dit is geen formele definitie, maar zoals ik ‘m ervaar). Daarbij is het computersysteem de dienst zoals die – in dit geval – door WhatsApp en Signal wordt aangeboden. Jouw individueel account is daarbij niet het doelwit.

Laten we even doen alsof deze chat-diensten wél gehackt zijn. Dat zou betekenen dat een hacker op hun servers heeft ingebroken en daar allerlei dingen heeft gedaan die heel veel mensen niet leuk vinden; alle – of op z'n minst vele – klanten zouden door de hack zijn geraakt, doordat hun gegevens gecompromitteerd zijn.

Maar dat is hier dus helemaal niet aan de hand. De actor (een nette term voor dader) had het gemunt op individuele accounts van bepaalde (soorten) functionarissen. Deze mensen kregen een bericht dat afkomstig leek te zijn van de chatbot van Signal; het leek dus op een officiële waarschuwing van de dienstverlener over verdachte activiteiten. Er staat ook in dat er mogelijk data zijn gelekt en dat er pogingen zijn gedetecteerd om toegang tot privédata te krijgen. Dat zou je kunnen voorkomen door het verificatieproces te doorlopen, aldus het bericht.

Wat gebeurt er nou echt? De actor wil inloggen op jouw account bij Signal. Die app vraagt dan om een code, die ze sms’en naar het bij hen bekende telefoonnummer: dat van jou. Die code, en jouw zelf ingestelde pincode, heeft de actor nodig om in te kunnen loggen, vandaar het bericht dat hij je stuurt. Het is de bedoeling dat je daarvan schrikt en gauw ‘het verificatieproces’ wilt doorlopen, maar dat is een val. Als je daar in trapt, dan kan de actor jouw account volledig overnemen en zelfs het gekoppelde telefoonnummer wijzigen naar zijn eigen nummer. Hij heeft nu toegang tot je contacten en kan meelezen met nieuwe chatberichten (zowel één-op-één als in groepen). Hij kan zelfs berichten namens jou versturen. Je hebt nu zelf geen toegang meer tot je account, maar je kunt wel een nieuw account aanmaken en je krijgt je chatgeschiedenis terug – die wordt namelijk op je toestel opgeslagen. Mooi, geen probleem, fijn dat ze me zo goed hebben geholpen, denk je dan.

In een andere variant laten ze je een QR-code scannen of op een link klikken. Ze laten je geloven dat je daardoor wordt toegevoegd aan een chatgroep in WhatsApp of Signal, maar in werkelijkheid wordt het apparaat van de actor aan jouw account gekoppeld. De actor kan nu al jouw chats zien, vaak ook de chathistorie. Je merkt daar niks van. Ook bij deze aanval kan hij meelezen met nieuwe berichten en namens jou berichten verzenden.

Goed, dan nu terug naar de term hacken en waarom ik vind dat die devalueert. Vanaf de jaren zestig was een hack een slimme technische truc in de (Amerikaanse) computer- en modelspoorclubwereld, en een hacker was een bijzonder slimme programmeur. In de jaren tachtig werd de term gebruikt voor mensen die diepgaand onderzoek deden naar computersystemen en netwerken. Als ze daarbij de beveiliging omzeilden, dan was dat uit nieuwsgierigheid en om te testen. Er waren ook crackers, hun kwaadaardige tegenhangers. Vanaf de jaren negentig verwaterde het verschil en werden hackers algemeen gezien als boeven. Zie mijn persoonlijke definitie boven.

De kop van de NOS suggereert dan WhatsApp en Signal gehackt zijn, terwijl het cyberadvies van de AIVD en MIVD juist benadrukt dat dat niet het geval is. Kennelijk is de NOS op de vingers getikt, of heeft de redactie de stagiair terechtgewezen, want later die dag kreeg hun bericht een nieuwe kop: "Inlichtingendiensten: Russische hackers dringen WhatsApp en Signal van ambtenaren binnen". En kreeg het artikel een paragraaf met als titel: "Geen lek in berichtendienst zelf". In het oorspronkelijke bericht lijkt ‘hacken’ te slaan op zo’n beetje alle computeronheil dat van buitenaf komt. Zoals hierboven beschreven was term al behoorlijk gedevalueerd, maar dit was misleidend.

Wat hier in werkelijkheid gebeurde heet social engineering. Daarbij wordt niet de computer, maar de mens achter de computer aangevallen. Als ze je zo ver krijgen om een code te delen of een QR-code te scannen, dan zijn ze in hun opzet geslaagd. Social engineering wordt ook wel hacking the human genoemd – het hacken van de mens. Dat dan wel weer.

 

En in de grote boze buitenwereld …

• Beïnvloeden trollen onze verkiezingen.
• Hebben pro-Iraanse hackers het medisch technologiebedrijf Stryker aangevallen.
• Bewaren veel videodeurbellen hun opnames te lang.
• Blijft het niet bij alleen maar praten over Europese digitale soevereiniteit.
• Horen IoT-apparaten niet in te loggen als admin.
• Maken cybercriminelen natuurlijk ook gebruik van AI – net als hun tegenstanders.
• Is de autosector het volgende slachtoffer van ransomwarebendes.
• Heeft een Amerikaanse ambtenaar gegevens op een USB-stick meegenomen naar zijn nieuwe baan.